Текст обращения в Роскомнадзор
В соответствии с пунктом 4 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" оператор персональных данных должен осуществлять внутренний контроль и (или) аудит соответствия обработки персональных данных.
При этом законом не установлена периодичность проведения такого аудита. С какой периодичностью должен проводить оператор персональных данных внутренний контроль (аудит) для соответствия требованиям законодательства в области персональных данных?
Ответ Роскомнадзора
Согласно п. 2 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон) оператором является государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных Законом, регламентированы ст. 18.1 Закона.
В соответствии с п. 4 ч. 1 ст. 18.1 Закона к мерам, направленным на обеспечение выполнения оператором обязанностей, предусмотренных Законом, относится осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора. В силу положений ч. 1 ст. 18.1 Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами.
С учетом изложенного, оператор персональных данных самостоятельно принимает меры по осуществлению внутреннего контроля и (или) аудита соответствия обработки персональных данных Закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки 2 персональных данных, локальным актам оператора, сам устанавливает периодичность проведения вышеуказанных мероприятий, согласно положениям ст. 18.1 Закона.
